ニュース
ベネッセへのリスペクトも必要なのでは――ラック西本氏らが2014年のセキュリティ総括
調査・公表した企業がたたかれる世の中・報道に憂慮
(2014/12/26 20:00)
株式会社ラックが12月16日、2014年のサイバー事件・事故について総括する報道関係者向けの説明会を開催し、今年あらわになった重大課題として、プロダクトの脆弱性や情報流出・セキュリティ被害を公表した企業がたたかれてしまう世の中や報道の風潮について、同社取締役最高技術責任者(CTO)兼サイバー・グリッド・ジャパンGMの西本逸郎氏らが問題点を指摘した。
プロダクトの脆弱性については、かつては「欠陥」と呼ばれ、ベンダーもそれを公表することを避けていたが、MicrosoftやAdobe Systemsの取り組みもあり、脆弱性が見つかった場合にはそれを公表し、修正パッチも提供するというサイクルが「当たり前」になってきている。もちろん、プロダクトに脆弱性を作り込んでしまうのは回避すべきだが、修正パッチをきちんと提供するという行為に対して、世の中から評価されにくい面があるのも事実だという。
実際、修正パッチをきちんと定期的に提供しているようなベンダーが、品質の低いプロダクトを提供しているベンダーとして非難されることもあるという。こうした認識が広まれば、脆弱性が見つかってもそれを隠し、修正パッチも提供しないという逆行する流れになりかねないと指摘する。
日本でも、IPAとJPCERT/CCによる脆弱性などの届出制度が2004年にスタートして10年が経過。ようやく制度がうまく回るようになったというが、昨年届出のあったウェブサイト改ざん事案は6000件に及ぶのに対し、改ざん被害を受けていたことをサイト運営者がきちんと公表したのはそのうちの200件ほどにとどまるのではないかという。公表したところで非難を浴びるということで、改ざんを修正した後も特に何も公表しないとところが大部分ではないかというわけだ。
昨年ごろから日本で被害が多発しているログインアカウント/パスワードの“リスト型攻撃”による不正ログイン被害でも同様だという。西本氏によれば、リスト型攻撃を受けたことが分かる企業は「実は大した企業」であり、ほとんどのサイトはリスト型攻撃を受けていることすら分からないのではないかと指摘。リスト型攻撃においても、その被害を公表する「立派なところ」が、「セキュリティ対策がなっていないから、不正ログインされたのではないか!」とたたかれる風潮に懸念を示した。
なお、IPAでは今年9月より、脆弱性を公表する際に、ベンダーが自社のプロダクトに見つかった脆弱性について自らIPAに届出を行った場合に「謝辞」を示すようになったという。西本氏はこのアプローチを挙げ、脆弱性を隠すベンダーよりも公表する企業の評価が上がるようにする取り組みが重要であることを強調した。
「公表する企業がたたかれる」風潮は、企業の内部犯行による情報流出事故でも同様だ。今年、これに該当する事件としては、ベネッセの顧客情報大量流出が挙げられるだろう。もちろん、同社には事故を起こしてしまったことの責任があり、これによって迷惑を被っている消費者がいるのも事実だが、事故を起こした企業が「説明責任」を果たしたがゆえに過度な社会的制裁を受ける状況が続けば、説明責任を放棄する方向に向かってしまうことは必至だと、ラックでは警鐘を鳴らす。すなわち、事故発覚→事故公表→過剰報道→2chやTwitterでたたかれる→社会的制裁→企業萎縮→情報隠ぺい→対策不能……という悪いスパイラルに社会が陥るという。
これに対して、脆弱性と同様、情報流出などの事故を公表し、対策をとった企業は非難されるべきでなく、たたえられるべきであり、公表者へのリスペクトが必要ではないかという。これにより、事故発覚→情報共有→感謝→社会の支援→適切報道→事例活用→対策推進……という逆のスパイラルこどが社会のあるべき姿だとした。
ラックによれば、昨今、内部犯行によるセキュリティ被害が増加している印象があるかもしれないが、これは内部犯行の件数じたいが増加しているのではなく、事故を公表する文化が浸透し、表面化する事例が増加しているというのが同社の見解だ。内部犯行による事故を検知できるようにするために、社内PCへのクライアント管理ソフトの導入やログの取得、ネットワークフォレンジック製品の導入など、事故が発生した際のログや証拠を残し、調査・報告できるようにする企業努力が進んできている結果だという。
もちろん、こうした対策をとっておらず、事故原因の調査・公表をしたくともできない企業もある。あるいは、あえて調査しない・公表しないという選択をする企業も一方ではあるという。こうした状況の中、ベネッセについて西本氏は、膨大な情報を調査した上で容疑者を特定・告発し、詳細な調査レポートも作成・公表したことは評価しているという。
逆に、仮に調査をしても流出経路や容疑者も特定できないまま、うやむやになっていた場合の方が、「すっとぼけているんじゃないのか?」とネットでささやかれるかもしれないが、ここまで社会的制裁を受けることはなかった可能性を指摘。「(調査結果の)詳細を公表した企業が突っ込まれる流れは悲しい」とした。「事件として報道されている部分からすると、こういう状況になるので経営者は本当は公表したくない。だが、やはり経営姿勢とか、技術者の魂とか、そういった部分から絶対に逃げちゃいかんといって公表する企業は公表する。公表している企業は茨の道だと思う」(西本氏)。
西本氏は最後に、今年のセキュリティ動向を字で表したとして「牙」と「芽」という漢字を示した。これは、前述のような内部犯行による事件や12月になって発生した米Sony Picturesに対するサイバー攻撃などのように、いろいろなところで「牙」が出てきた1年だったが、この字に草冠を付けると「芽」になるとの意味だという。「新しい対策への『芽』も、いろいろな面で出てくる部分じゃなかろうか」として、2014年のセキュリティを総括した。
ラックではこのほか、「標的型攻撃の常態化」も2014年の重大課題として挙げている。これについては、同社のサイバー救急センターで対応した事故などの情報をもとに、同じく同社のサイバー・グリッド研究所で分析した「日本における、標的型サイバー攻撃の事故実態調査レポート」をとりまとめ、公開した。国内で実際に発生した約80件の実例を調査・分析したもので、感染手段の異なる複数の標的型攻撃の関連性についても解明しているという。レポートは、同社サイトよりダウンロードできる。